Le cas curl raconte l’explosion du bruit. Claude Mythos raconte l’autre moitié de l’histoire.
En avril 2026, Anthropic a présenté Claude Mythos Preview dans le cadre de Project Glasswing. L’objectif annoncé : donner à des partenaires sélectionnés un accès encadré à des capacités cyber avancées, pour aider à identifier et corriger des vulnérabilités dans des logiciels critiques.
Anthropic affirme que Mythos Preview a trouvé des vulnérabilités anciennes et complexes dans des projets majeurs, dont OpenBSD et FFmpeg. Ces résultats doivent rester attribués à Anthropic.
Mais l’élément le plus solide vient d’un tiers indépendant : l’AI Security Institute britannique.
L’Institut a évalué Claude Mythos Preview dans des environnements contrôlés. Sur des tâches Capture the Flag de niveau expert, qu’aucun modèle testé par l’AISI ne parvenait à résoudre avant avril 2025, Mythos Preview atteint 73 % de réussite.
Ce chiffre ne signifie pas que Mythos peut compromettre 73 % des entreprises. Il concerne un ensemble précis de tests. Mais il marque un saut net.
L’AISI a aussi testé le modèle sur “The Last Ones”, une simulation d’attaque réseau en 32 étapes. Le scénario va de la reconnaissance initiale jusqu’à la prise de contrôle complète du réseau. L’Institut estime qu’un expert humain aurait besoin d’environ 20 heures pour le terminer.
Mythos Preview est devenu le premier modèle évalué par l’AISI à réussir ce scénario de bout en bout. Il y parvient lors de 3 essais sur 10, avec 22 étapes complétées en moyenne sur 32.
La nuance est importante : un cyber-range n’est pas une entreprise réelle. Un test contrôlé n’est pas un SI de production. Mais pour un RSSI, le signal est suffisant pour changer la discussion.
L’IA ne sert plus seulement à générer des tickets médiocres. Elle commence aussi à déplacer la frontière de la recherche offensive.